该论文针对 Web 服务器日志的取证分析需求，提出了一种名为 CEF-Log 的上下文增强少样本思维链提示策略，用于大语言模型（LLM）。传统机器学习方法在日志检测中常被视为“黑箱”，难以提供符合法律要求的人类可读解释。CEF-Log 通过嵌入专家调查方法，设计了一个结构化的五步推理模板，引导模型学习如何分析日志，而非记忆特定模式。实验基于 CSIC 2010 数据集，仅使用四个示例便达到了 0.99 的 F1 分数，样本效率相比其他基于提示的方法提升了 10 倍。此外，论文还引入了新数据集 ForenWebLog，包含真实攻击和多步攻击序列，用于全面评估。定性分析表明，CEF-Log 生成的解释可追溯、准确，适用于取证文档，解决了传统 ML 方法的“黑箱”问题。该研究适合安全分析师、取证调查人员以及 AI 安全研究者阅读。

该论文提出了一种名为 AuthentiSense 的可扩展行为生物特征身份验证方案，专门针对移动平台设计。传统的一次性身份验证技术（如密码、指纹、面部识别）存在被窃取或模仿的风险，且一旦设备解锁后无法持续保护用户隐私。为弥补这一缺陷，基于行为生物特征的连续身份验证方法应运而生。然而，现有方案要么无法动态适应用户基数的变化（即用户无关性差），需要重新训练模型，要么难以在数百万用户规模下高效运行。AuthentiSense 通过引入少样本学习技术（具体为孪生网络 Siamese Network）解决了这些挑战。该系统仅利用用户与移动应用交互时产生的运动模式数据（加速度计、陀螺仪、磁力计），无需人工特征工程或大量训练数据。该方法的核心创新在于其用户无关性：模型无需针对新增用户重新训练，只需少量行为样本（例如 3 个样本）即可完成注册和验证，从而支持大规模用户场景。论文通过系统性测量实验评估了多个参数的影响，包括身份验证所需的交互时间（仅需 1 秒）以及 n-shot 验证（与注册样本的比较次数）对识别性能的影响。令人瞩目的是，在 few-shot 设置下（每个用户仅 3 个样本），AuthentiSense 的 F1 分数高达 97%，误接受率（FAR）为 0.023，误拒绝率（FRR）为 0.057。该方案实现了高精度、低延迟和可扩展性，为移动设备上的连续身份验证提供了一种实用且高效的新途径。

网络入侵检测系统（NIDS）通过检测恶意流量并交由安全运营中心调查，在保护网络中发挥关键作用。现有最先进的方法利用监督机器学习训练分类模型识别已知网络攻击，但这些模型需要大量标注数据集，且在较小数据集上训练时性能较差。为解决这一缺陷，异常检测模型学习正常流量分布并将不符合的流量标记为恶意——虽然不需要恶意样本训练，但误报率高，实用性低。因此，当特定攻击类别的标注实例不足时（例如新建立网络或出现未见过的攻击类型），网络可能特别脆弱。本文提出使用三元组网络（triplet network），结合在线三元组挖掘（online triplet mining）和K近邻（KNN）分类器，实现小样本（few-shot）分类，从而在仅用有限恶意样本训练后即可进行有效入侵检测。作者探索了多种在线三元组挖掘算法，并通过一系列消融实验比较和评估模型设计选择，如推理算法和优化的距离度量。最终模型在小样本二分类和多分类任务中与现有最先进方法进行比较，结果表明：在每类仅用10个恶意样本训练时，所提方法性能与现有方法相当。该工作为网络攻击检测中标注数据稀缺场景提供了新思路。